BundleBoti pahavara
Ähvardav pahavara variant nimega BundleBot on tegutsenud varjatult, vältides tuvastamist .NET-i ühefailipõhise juurutamise tehnika abil. See meetod võimaldab ohus osalejatel varjatult koguda tundlikku teavet ohustatud hostidelt.
BundleBot on tuntud dotnet-kimbu (ühe faili) iseseisva vormingu ärakasutamise poolest, mis muudab turvasüsteemide tuvastamise keeruliseks. Selle tulemuseks on väga madal või isegi null staatiline tuvastamine, mis võimaldab pahavaral jääda ohustatud seadmetes pikka aega avastamata.
Küberjulgeolekuekspertide järelduste kohaselt toimub BundleBoti levitamine tavaliselt Facebooki reklaamide ja ohustatud kontode kaudu, mis viib pahaaimamatud kasutajad veebisaitidele, mis maskeeritakse tavaliste programmiutiliitide, AI-tööriistade ja mängudena. Kui kasutajad pääsevad neile petlikele veebisaitidele juurde, käivitavad nad teadmata pahavara allalaadimise ja käivitamise, seades ohtu oma süsteemid ja tundlikud andmed.
Sisukord
Küberkurjategijad kasutavad populaarseid tehisintellekti tööriistu andmepüügipeibutisena
BundleBoti pahavara rünnakutega seotud veebisaidid on võtnud kasutusele Google Bardi jäljendamise taktika, mis on ettevõtte välja töötatud silmapaistev vestlusrohke generatiivne AI-vestlusbot. Need petlikud veebisaidid meelitavad pahaaimamatuid ohvreid, pakkudes näiliselt ahvatlevat allalaadimislinki RAR-i arhiivi nimega „Google_AI.rar”. Nimelt majutatakse neid petturlikke arhiive seaduslikes pilvesalvestusteenustes, nagu Dropbox.
Google Bardi kasutamine peibutisena pole AI tööriistade kasvavat populaarsust arvestades midagi uut. Küberkurjategijad on viimastel kuudel seda suundumust kasutajate petmiseks ära kasutanud, eriti sellistel platvormidel nagu Facebook. Nad kasutavad seda strateegiat erinevat tüüpi teavet koguva pahavara, näiteks kurikuulsa Doeneriumi vargsi levitamiseks.
Nende ebaturvaliste linkide levitamine toimub sageli Facebooki reklaamide ja ohustatud kasutajakontode kaudu. Seda meetodit on ohus osalejad juba mõnda aega järjekindlalt ära kasutanud. Kombineerides selle levitamistaktika pahavara võimega röövida ohvri Facebooki kontoteavet, loovad küberkurjategijad isemajandava tsükli, mis toidab nende kahjulikku tegevust.
BundleBoti pahavara ohu nakkusahel
Arhiivi Google_AI.rar lahtipakkimisel leiavad kasutajad käivitatava faili nimega GoogleAI.exe, mis on .NETi ühest failist koosnev iseseisev rakendus. See rakendus sisaldab omakorda DLL-faili GoogleAI.dll, mis vastutab parooliga kaitstud ZIP-arhiivi toomise eest Google Drive'ist.
Järgmises etapis paljastab ZIP-failist „ADSNEW-1.0.0.3.zip” ekstraheeritud sisu veel ühe .NET-i ühest failist koosneva iseseisva rakenduse nimega „RiotClientServices.exe”. See rakendus kannab BundleBoti kasulikku koormust RiotClientServices.dll ja Command-and-Control (C2) pakettandmejadajadaja nimega LirarySharing.dll.
Pärast aktiveerimist toimib BundleBoti pahavara kohandatud ja uudse varastaja/robotina. See kasutab 'LirarySharing.dll' teeki, et töödelda ja jadastada pakettandmeid, mis edastatakse roboti suhtluse ajal C2-serveriga. Analüüsist kõrvalehoidmiseks kasutavad binaarsed artefaktid kohandatud hägustamistehnikaid ja sisaldavad märkimisväärsel hulgal rämpskoodi.
BundleBoti pahavaral on ähvardavad pealetükkivad funktsioonid
Pahavara võimalused on murettekitavad. See võib vargsi eraldada veebibrauseritest andmeid, jäädvustada ekraanipilte, hankida Discordi märke, koguda teavet Telegrammist ja koguda Facebooki konto üksikasju. Pahavara toimib keeruka andmete varastamise robotina, mis kahjustab erinevatest allikatest pärit tundlikku teavet kasutaja teadmata.
Huvitaval kombel on BundleBoti teine proov, mis on peaaegu identne kõigis aspektides, välja arvatud üks oluline erinevus. See variant kasutab HTTPS-i varastatud teabe väljafiltreerimiseks kaugserverisse. Varastatud andmed eksfiltreeritakse ZIP-arhiivina, mis võimaldab ründajatel ohvri teavet diskreetselt edastada ilma kahtlust tekitamata.
